CVE-2020-13666

Опубликовано: 05 мая 2021

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Cross-site scripting vulnerability in Drupal Core. Drupal AJAX API does not disable JSONP by default, allowing for an XSS attack. This issue affects: Drupal Drupal Core 7.x versions prior to 7.73; 8.8.x versions prior to 8.8.10; 8.9.x versions prior to 8.9.6; 9.0.x versions prior to 9.0.6.

Ссылки

https://www.drupal.org/sa-core-2020-007
Vendor Advisory
https://www.drupal.org/sa-core-2020-007
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 7.0 (включая) до 7.73 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.8.0 (включая) до 8.8.10 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.9.0 (включая) до 8.9.6 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.0.6 (исключая)

EPSS

Процентиль: 65%

0.00512

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2020-13666

CVSS3: 6.1

ubuntu

около 4 лет назад

CVE-2020-13666

CVSS3: 6.1

debian

около 4 лет назад

Cross-site scripting vulnerability in Drupal Core. Drupal AJAX API doe ...

GHSA-8jj2-x2gc-ggm7

CVSS3: 6.1

github

около 3 лет назад

Drupal Core Cross-site scripting vulnerability

BDU:2021-04621

CVSS3: 6.1

fstec

почти 5 лет назад

Уязвимость ядра CMS-системы Drupal, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 65%

0.00512

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79